Informations d'identification SSH

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 11 minutes de lecture

    • Découverte, Orchestration et Centre d'intégration explorer UNIX et Linux périphériques à l’aide des informations d’identification SSH pour exécuter des commandes sur Secure Shell (SSH). Les commandes SSH doivent s'exécuter avec les privilèges racines, soit avec les informations d'identification racine, soit via Sudo. Les informations d'identification de clé privée SSH fournissent une sécurité supplémentaire.

    Octroi des privilèges racines

    Avant d'octroyer des privilèges racines, examinez votre politique et vos options de sécurité avec l'équipe de sécurité de votre organisation.

    Utilisez l'une ou l'autre de ces approches pour permettre aux utilisateurs d'exécuter des commandes SSH avec des privilèges racines :
    • Donnez d'autres informations d'identification pour Découverte, Orchestration ou Centre d'intégration, mais octroyez à l'utilisateur ayant ces informations d'identification le droit d'exécuter certaines commandes avec des privilèges racine, à l'aide de Sudo. Il s'agit d'un moyen sécurisé d'octroyer des privilèges limités. Découverte, Orchestration ou Centre d'intégration utilisent Sudo sur n'importe quelle sonde dont le paramètre must_sudo est défini sur true (sa valeur par défaut est false). Toutefois, chaque système doit être configuré pour permettre à Sudo de fonctionner. Pour ce faire, modifiez le fichier /etc/sudoers à l'aide de la commande visudo.
    • Donnez les informations d'identification racine. Il s'agit bien entendu des informations d'identification les plus puissantes, mais elles ne sont pas toujours souhaitables pour des raisons de sécurité. Si Découverte, Orchestration ou Centre d'intégration ont les informations d'identification racine pour n'importe quel système UNIX ou Linux, aucune autre configuration n'est nécessaire.

    Commandes privilégiées

    La plateforme fournit des commandes privilégiées par défaut que le MID Server doit utiliser et la possibilité d'ajouter des commandes supplémentaires au système. Pour plus d’informations sur l’utilisation de sudo et d’autres commandes privilégiées, consultez Commandes privilégiées de Serveur MID.

    Type d'informations d'identification de clé privée SSH

    Remarque :
    Les informations d’identification de clé privée SSH doivent être utilisées dans la plupart des cas. Ils offrent une meilleure sécurité que les identifiants de mot de passe SSH, y compris contre les attaques MitM (man-in-the-middle) dans lesquelles les communications entre deux parties sont interceptées.
    Champ Valeur d'entrée
    Nom Nom unique et descriptif pour ces informations d'identification. Par exemple, vous pouvez les appeler SSH Atlanta.
    Actif Activez ou désactivez ces informations d'identification pour les utiliser.
    Nom d'utilisateur Entrez un nom d'utilisateur UNIX ou Linux. Évitez les espaces blancs dans les noms d'utilisateur. Un avertissement apparaît si la plateforme détecte des espaces blancs dans le nom d'utilisateur.
    Mot de passe Entrez le mot de passe UNIX ou Linux. Pour les informations d'identification de type Clé privée SSH , entrez le mot de passe Sudo si le nom d'utilisateur en nécessite un.
    Phrase de sécurité SSH Saisissez une phrase de sécurité SSH. Ce champ est disponible uniquement pour les informations d'identification de Clé privée SSH .
    Clé privée SSH Saisissez une clé privée sécurisée, RSA, DSA, ECDSA ou ED25519.

    La clé privée doit être saisie au bon format pour être correctement chiffrée. La clé privée doit commencer par la chaîne -----BEGIN.

    Voici un exemple de clé privée RSA correctement formatée :
    -----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END RSA PRIVATE KEY-----
    Un exemple de clé DSA :
    -----BEGIN DSA PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END DSA PRIVATE KEY-----
    Un exemple de clé ECDSA :
    -----BEGIN EC PRIVATE KEY-----
MIIEogIBAAKCAQEAsEK65scPssPSobpDFMpR+Btv3MS4Q7NP8ERaStRZsh3IWz+x...
...7hrxV2dbSug60FahyupGWBGtPnXm5PaE2X5WPLuUj94ue48i1Fs
-----END EC PRIVATE KEY-----
    Et un exemple de clé privée ED25519 :
    -----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW
QyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiwAAAKDQUtxZ0FLc
WQAAAAtzc2gtZWQyNTUxOQAAACAlYlqhcdwx8VQzZ5XaIC5ltQpjRr3lIlq/aE66mufmiw
AAAECuvsTkFUPdpTh0kw23i8TYx19qsFOZ3TRgowkkHBh6wSViWqFx3DHxVDNnldogLmW1
CmNGveUiWr9oTrqa5+aLAAAAGmFiaGluYXYuc3V0YXJATVJFTUE3OTAzMkI3AQID
-----END OPENSSH PRIVATE KEY-----
    Remarque :
    Pour une clé privée ED25519, seul le format de clé OpenSSH est pris en charge, qui est généré à l’aide de l’utilitaire OpenSSH SSH-keygen.

    Le ServiceNow AI Platform prend en charge les clés privées au format PEM généré par l'utilitaire OpenSSH ssh-keygen. Pour convertir les clés PPK qui ont été générées par PuTTY :

    • Ouvrez votre clé privée dans PuTTYGen.
    • Exportez-le au format OpenSSH depuis le menu Conversions > Exporter une clé OpenSSH.
    • Enregistrez la nouvelle clé OpenSSH.
    Certificat SSH

    Entrez un certificat OpenSSH basé sur RSA ou ED25519. Lorsque le certificat est saisi, une clé privée est utilisée pour l’authentification basée sur certificat. Cette authentification est prise en charge à partir d’OpenSSH 7.8.
    Alias d'identification
    • Autorisez les concepteurs de flux à utiliser des alias pour gérer les connexions et les informations d'identification. L'utilisation d'un alias élimine la nécessité de configurer plusieurs informations d'identification et profils d'informations de connexion lors de l'utilisation d'environnements multiples. Si les informations de connexion ou d'identification changent, vous n'avez pas besoin de mettre à jour les actions qui utilisent la connexion. Pour plus d'informations, consultez Connexions et informations d'identification.
    • Autorisez les créateurs de workflows à affecter des informations d'identification individuelles à n'importe quelle activité d'un workflow Orchestration ou affectez des informations d'identification différentes à chaque occurrence du même type d'activité dans un workflow Orchestration.
    Banque d'identifiants externes Cochez cette case pour utiliser un système de stockage des informations d'identification externe. Lorsque vous sélectionnez cette option, les champs Nom d'utilisateur et Mot de passe sont remplacés par le champ ID d'informations d'identification. Actuellement, le seul système de stockage externe pris en charge est CyberArk.
    MID Servers Sélectionnez un ou plusieurs MID Servers dans la liste des MID Servers disponibles. Les informations d'identification configurées dans cet enregistrement sont disponibles pour les MID Servers de cette liste. Ce champ est disponible uniquement lorsque vous sélectionnez MID servers spécifiques depuis le champ S'applique à.
    S'applique à Choisissez si appliquer ces informations d'identification à Tous les serveurs MID de votre réseau, ou à un ou plusieurs MID servers spécifiques. Spécifiez les MID Servers qui doivent utiliser ces informations d'identifications dans le champ MID servers.
    Ordre Ordre (séquence) dans lequel la plateforme essaie ces informations d'identification lorsqu'elle tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des numéros élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d'identification ont le même numéro d'ordre (ou n'en ont pas), Discovery ou Orchestration essaie les informations d'identification aléatoirement.

    Type d'informations d'identification SSH

    Ces champs sont disponibles dans le formulaire Informations d'identification SSH.
    Champ Description
    Nom Entrez un nom unique et descriptif pour ces informations d'identification.
    Actif Activez ou désactivez ces informations d'identification pour les utiliser.
    Nom d'utilisateur Entrez le nom d'utilisateur ou créez-le dans la table Informations d'identification. Évitez les espaces blancs dans les noms d'utilisateur. Un avertissement apparaît si la plateforme détecte des espaces blancs dans le nom d'utilisateur. Pour CIM Discovery, l'utilisateur doit avoir le rôle administrateur.
    Mot de passe Entrez le mot de passe.
    ID d'informations d'identification Entrez la clé unique configurée pour les informations d'identification externes dans le fichier JAR téléchargé sur le MID Server pour un système d'informations d'identification externe. Le champ ID d'informations d'identification a une limite de 40 caractères.

    Ce champ n'est visible que lorsque la case Banque d'identifiants externes est cochée.
    Alias d'identification
    • Autorisez les concepteurs de flux à utiliser des alias pour gérer les connexions et les informations d'identification. L'utilisation d'un alias élimine la nécessité de configurer plusieurs informations d'identification et profils d'informations de connexion lors de l'utilisation d'environnements multiples. Si les informations de connexion ou d'identification changent, vous n'avez pas besoin de mettre à jour les actions qui utilisent la connexion. Pour plus d'informations, consultez Connexions et informations d'identification.
    • Autorisez les créateurs de workflows à affecter des informations d'identification individuelles à n'importe quelle activité d'un workflow Orchestration ou affectez des informations d'identification différentes à chaque occurrence du même type d'activité dans un workflow Orchestration. Pour utiliser les informations d'identification afin de détecter les CI qui n'appartiennent pas à ce type de CI à l'aide des modèles de mappage de service et de détection, entrez le nom de table du type de CI auquel le CI appartient, par exemple cmdb_ci_apache_web_server.
    Banque d'identifiants externes Cochez cette case pour utiliser un système de stockage des informations d'identification externe. Lorsque vous sélectionnez cette option, les champs Nom d'utilisateur et Mot de passe sont remplacés par le champ ID d'informations d'identification. Le stockage des informations d’identification externe n’est disponible que lorsque le module d’extension Stockage des informations d’identification externe est activé.
    Remarque :
    Actuellement, le seul système de stockage externe pris en charge est CyberArk.
    Concerne

    Choisissez si appliquer ces informations d'identification à Tous les serveurs MID de votre réseau, ou à un ou plusieurs MID servers spécifiques. Spécifiez les utilisateurs qui doivent utiliser ces informations d’identification Serveurs MID dans le champ Serveurs MID .
    MID Servers Sélectionnez un ou plusieurs MID Servers dans la liste des MID Servers disponibles. Les informations d'identification configurées dans cet enregistrement sont disponibles pour les MID Servers de cette liste. Ce champ est disponible uniquement lorsque vous sélectionnez MID servers spécifiques depuis le champ S'applique à.
    Ordre

    Ordre (séquence) dans lequel Découverte teste cet identifiant de connexion lorsqu’il tente de se connecter aux appareils. Plus le nombre est petit, plus les informations d'identification apparaissent en haut dans la liste. Établissez un ordre pour les informations d'identification lorsque vous utilisez des informations d'identification avec des nombres élevés ou lorsque la sécurité verrouille les utilisateurs après trois tentatives de connexion échouées. Si toutes les informations d'identification ont le même numéro d'ordre (ou n'en ont pas), l'instance essaie les informations d'identification aléatoirement.

    Commandes qui nécessitent des privilèges racine pour Discovery, Orchestration et Centre d'intégration

    Dans ces exemples, le nom d'utilisateur est Disco. Remplacez le nom d'utilisateur et assurez-vous que les chemins d'accès des commandes correspondent aux chemins d'accès du système.
    Remarque :
    Les commandes Sudo ne fonctionnent pas avec les informations d'identification de clé privée, car il n'y a pas de mot de passe à fournir à la commande Sudo. Une solution consiste à ajouter l'option NOPASSWD à la configuration Sudo. Par exemple, vous pouvez entrer : disco ALL=(root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.
    Tableau 1. Commandes UNIX et Linux nécessitant des privilèges racine
    Commande Objectif
    HP-UX
    adb Collecte la vitesse et la mémoire du processeur.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/adb
    • Utilisée par : Discovery
    Toutes les versions Linux et UNIX
    chage Modifie le nombre de jours entre les changements de mot de passe et la date du dernier changement de mot de passe.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/chage
    • Utilisée par : Orchestration et Centre d'intégration
    chpasswd Modifie les mots de passe utilisateur.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/chpasswd
    • Utilisée par : Orchestration et Centre d'intégration
    Toutes les versions Linux
    dmidecode Collecte différentes informations sur le matériel, y compris le numéro de série incorporé dans la carte mère.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/dmidecode
    • Utilisée par : Discovery
    fdisk Collecte les informations sur les disques et la taille sur le système.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/fdisk -l
    • Utilisée par : Discovery
    multipath Collecte les mappages d'appareils pour le MPIO.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/multipath -ll
    • Utilisée par : Discovery
    ls Rassemble le contenu d’un répertoire.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/ls, /bin/ls
    • Utilisée par : Discovery
    Linux et Solaris
    dmsetup Examine un volume de faible niveau.
    • Exemple de ligne de /etc/sudoers :
      • Disco ALL=(root) /usr/bin/dmsetup table *
      • Disco ALL=(root) /usr/bin/dmsetup Is
    • Utilisée par : Discovery
    Toutes les versions UNIX
    lsof Détermine la relation entre les processus et les connexions en cours au système.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /sbin/lsof
    • Utilisée par : Discovery
    oratab Accorde un accès en lecture au fichier oratab pour localiser la page d'accueil et le profil Oracle.
    • Exemple de ligne /etc/sudoers : N. A.
    • Utilisée par : Discovery
    Solaris
    iscsiadm Obtient des IQN iSCSI
    • Exemple de ligne /etc/sudoers : ${sudo:iscsiadm list target -S}
    • Utilisée par : Discovery
    fcinfo Obtient des WWPN pour les ports.
    • Exemple de ligne /etc/sudoers : ${sudo:fcinfo remote-port -sl -p $port}
    • Utilisée par : Discovery
    prtvtoc Communique des informations sur les partitions de disque.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/prtvtoc
    • Utilisée par : Discovery
    pfiles

    Utilisé pour collecter des informations de connexion TCP.

    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/pfiles

    • Utilisée par : Discovery
    PGREP

    Utilisé pour répertorier les ID de processus d’une région particulière sur lesquels exécuter des fichiers.

    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/pgrep

    • Utilisée par : Discovery
    /usr/bin/ps Répertorie le processus d'exécution. Vous pouvez ajouter le rôle proc_owner au lieu de l'exécuter avec l'accès racine.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/bin/ps
    • Utilisée par : Discovery
    /usr/ucb/ps Répertorie le processus d'exécution. Vous pouvez ajouter le rôle proc_owner au lieu de l'exécuter avec l'accès racine.
    L'utilisation de la commande /usr/ucb/ps est déconseillée à partir de Solaris 11. Étant donné que Découverte, Orchestration et Centre d'intégration nécessitent l'utilisation de cette commande pour toutes les versions Solaris, vous devez installer l'utilitaire ucb manuellement sur les systèmes Solaris 11. Pour obtenir des instructions, consultez KB0564262.
    • Exemple de ligne /etc/sudoers : Disco ALL=(root) /usr/ucb/ps
    • Utilisée par : Discovery

    Pour obtenir la liste des commandes privilégiées dont vous avez besoin pour Détection et Mappage des services, reportez-vous à la section Service Mapping commands requiring a privileged user. Cette liste inclut les commandes qui nécessitent des droits élevés pour détecter et mapper les hôtes Unix dans votre organisation.

    Besoins relatifs à l'accès pour les informations d'identification non racine

    Si vous ne fournissez pas d'informations d'identification Découverte avec accès racine, vous devez fournir les informations d'identification avec les besoins relatifs à l'accès suivantes.
    Application Fichier ou répertoire Accès requis
    Apache httpd.conf Lecture
    HBase hbase-site.xml Lecture
    JBoss jboss-service.xml Lecture
    Répertoire de base JBoss Lecture
    web.xml Lecture
    MySQL my.cnf Lecture
    NGINX nginx.conf Lecture
    Oracle oratab Lecture
    Fichiers pfiles (s) associés Lecture
    Oracle Listener lsnrctl Exécuter
    listener.ora Lecture
    Tomcat catalina.jar Lecture
    server.xml Lecture
    web.xml Lecture
    Unix /etc/*release Lecture
    /etc/bashrc Lecture
    /etc/profile Lecture
    /proc/cpuinfo Lecture
    /proc/vmware/sched/ncpus Lecture
    /var/log/dmesg Lecture
    Répertoire APD Lecture
    WebSphere cell.xml Lecture
    server.xml Lecture
    serverindex.xml Lecture